Tente isto:
server {
listen 80;
server_name sub.domain.tld;
server_tokens off;
root /var/www/letsencrypt;
location /.well-known {
try_files $uri $uri/ =404;
}
location / {
return 301 https://$host$request_uri;
}
}
Como não havia nenhuma entrada try_files
em seu servidor virtual, ele não sabia o que fazer com as solicitações recebidas em /.well-known
.